jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » VNC

VNC

Threat-actor 3 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Deshabilitar VNC en sistemas críticos o configurarlo con restricciones estrictas.
  • Usar autenticación de dos factores (2FA) para sesiones remotas.
  • Implementar monitoreo de tráfico y políticas de acceso que limiten el uso de VNC a dispositivos autorizados.
  • Realizar auditorías periódicas para verificar que no se hayan configurado servicios remotos sin permiso.

VNC

Descripción de la Tecnica

VNC (Virtual Network Computing) es un protocolo de red que permite a los usuarios controlar una computadora remota a través de una conexión de área local (LAN) o de internet. Este protocolo, conocido como "Remote Framebuffer Protocol" (RFB), se utiliza para compartir la pantalla, el mouse y el teclado entre dispositivos, permitiendo una interacción remota en tiempo real.

En el contexto de ciberseguridad, VNC puede ser aprovechado por actores adversarios para controlar máquinas remotas. Específicamente, la técnica T1078 (Valid Accounts) en MITRE ATT&CK describe cómo los atacantes pueden usar cuentas válidas para acceder a sistemas mediante VNC, lo que puede llevar a compromisos de sistema o acceso no autorizado.

¿Como Funciona?

VNC opera basándose en el protocolo RFB, que permite la transmisión de imágenes de la pantalla del dispositivo remoto al cliente. Este proceso incluye la captura de eventos de entrada (mouse, teclado) y la actualización continua de la interfaz gráfica. La comunicación se realiza a través de un puerto específico (por ejemplo, puerto 5872 por defecto), lo que puede ser monitorizado para detectar actividad anormal.

La técnica T1078 implica la utilización de credenciales válidas (como usuarios con permisos de administrador) para iniciar una sesión remota. Esto permite a los atacantes acceder a recursos críticos sin que los usuarios noten la conexión, especialmente si el VNC no está configurado correctamente.

Actores que la Utilizan

La técnica T1078 es utilizada por actores adversarios en diversos escenarios de ataque. En el contexto de MITRE ATT&CK, no se especifican actores particulares, pero se asocia con amenazas que buscan explotar vulnerabilidades de autenticación o sistemas con configuraciones predeterminadas.

Detección

La detección de VNC en un entorno puede incluir la monitorización de tráfico de red relacionado con el puerto 5872 (o otros puertos utilizados por VNC) y la identificación de sesiones remotas no autorizadas. También es importante revisar registros de acceso a sistemas para detectar actividades anómalas, como conexiones desde IPs desconocidos o dispositivos no registrados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación

Para mitigar el riesgo asociado a VNC, se recomienda:

  1. Deshabilitar VNC en sistemas críticos o configurarlo con restricciones estrictas.
  2. Usar autenticación de dos factores (2FA) para sesiones remotas.
  3. Implementar monitoreo de tráfico y políticas de acceso que limiten el uso de VNC a dispositivos autorizados.
  4. Realizar auditorías periódicas para verificar que no se hayan configurado servicios remotos sin permiso.

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable